RGPD en ESMS : Obligations et Protection des Données de Santé
Cadre juridique, DPO, registre des traitements, données de santé, AIPD, droits des usagers et plan de mise en conformité pour les directeurs d’ESMS
Cadre juridique du RGPD appliqué aux ESMS
Le RGPD (Règlement Général sur la Protection des Données, UE 2016/679), applicable depuis le 25 mai 2018, s’applique pleinement aux ESMS. Ces structures traitent quotidiennement des données personnelles sensibles — données de santé, données relatives au handicap, données sociales — ce qui les soumet à un régime de protection renforcé.
Textes applicables
| Texte | Objet principal |
|---|---|
| RGPD (UE 2016/679) | Cadre général : principes, droits des personnes, obligations des responsables de traitement |
| Loi Informatique et Libertés (n° 78-17 modifiée) | Transposition française, dispositions spécifiques (NIR, données de santé, mineurs) |
| Code de la santé publique (art. L1110-4) | Secret médical et secret partagé entre professionnels |
| CSP art. L1111-8 | Hébergement de données de santé (certification HDS obligatoire) |
| CASF art. L311-3 | Droits des usagers : confidentialité des informations les concernant |
Principes fondamentaux du RGPD
- Licéité, loyauté, transparence : traiter les données sur une base légale et en informant les personnes
- Limitation des finalités : collecter pour des objectifs déterminés et légitimes
- Minimisation : ne collecter que les données strictement nécessaires
- Exactitude : maintenir les données à jour
- Limitation de la conservation : ne pas conserver au-delà de la durée nécessaire
- Intégrité et confidentialité : garantir la sécurité des données
- Responsabilité (accountability) : pouvoir démontrer la conformité à tout moment
Données personnelles traitées en ESMS
Les ESMS traitent trois grandes catégories de données personnelles :
| Catégorie | Exemples | Sensibilité RGPD |
|---|---|---|
| Données de santé | Diagnostics, traitements, prescriptions, comptes rendus médicaux, évaluations fonctionnelles, PPA | Sensible (art. 9 RGPD) |
| Données sociales | Situation familiale, ressources, parcours, mesures de protection juridique (tutelle, curatelle), orientation MDPH | Sensible (handicap) |
| Données administratives | Identité, coordonnées, n° de sécurité sociale, photographies | Standard (sauf NIR = réglementé) |
Données de santé : régime de protection renforcé
Secret médical et secret partagé
L’article L1110-4 du Code de la santé publique encadre le partage d’informations entre professionnels :
- Secret médical : toute information portée à la connaissance d’un professionnel de santé est couverte par le secret
- Secret partagé : les professionnels d’une même équipe de soins peuvent partager les informations strictement nécessaires à la coordination de la prise en charge
- Hors équipe de soins : le partage nécessite le consentement préalable de la personne (ou de son représentant légal)
Certification HDS (Hébergeur de Données de Santé)
L’article L1111-8 du CSP impose que tout prestataire hébergeant des données de santé pour le compte d’un tiers soit certifié HDS. Cela concerne :
- Les éditeurs de logiciels métiers (DUI) hébergeant les données en cloud
- Les prestataires de sauvegarde et d’archivage
- Les fournisseurs de messageries sécurisées de santé
L’ESMS doit vérifier la certification HDS de ses sous-traitants et l’inscrire dans les clauses contractuelles.
Durées de conservation
| Type de données | Durée de conservation | Base légale |
|---|---|---|
| Dossier médical | 20 ans après la dernière prise en charge | Art. R1112-7 CSP |
| Dossier médical (mineur) | Jusqu’aux 28 ans de la personne (minimum) | Art. R1112-7 CSP |
| Données administratives usager | 5 ans après la fin de prise en charge | Recommandation CNIL |
| Données de paie (personnel) | 5 ans | Code du travail |
| Vidéosurveillance | 1 mois maximum | Code de la sécurité intérieure |
| Données de connexion SI | 6 mois à 1 an | Recommandation CNIL/ANSSI |
DPO : désignation et missions
La désignation d’un DPO (Délégué à la Protection des Données) est obligatoire pour les ESMS qui traitent des données de santé à grande échelle (article 37 du RGPD). C’est le cas de la quasi-totalité des ESMS.
Missions du DPO (article 39 RGPD)
- Informer et conseiller le responsable de traitement et les salariés
- Contrôler le respect du RGPD et de la politique interne
- Conseiller sur l’AIPD et en vérifier l’exécution
- Coopérer avec la CNIL et être le point de contact
- Tenir le registre des traitements à jour
DPO interne ou externe ?
| Option | Avantages | Inconvénients |
|---|---|---|
| DPO interne | Connaissance fine de la structure, disponibilité | Compétences à former, risque de conflit d’intérêts, coût du poste |
| DPO externe | Expertise juridique et technique, indépendance | Moins de connaissance du terrain, coût prestataire |
| DPO mutualisé | Coût partagé entre structures, expertise sectorielle | Disponibilité limitée, priorisation entre structures |
La mutualisation du DPO entre plusieurs ESMS d’un même organisme gestionnaire est une solution pertinente et courante dans le secteur.
Registre des traitements
Le registre des activités de traitement (article 30 RGPD) est obligatoire. Il recense l’ensemble des traitements de données personnelles réalisés par l’ESMS.
Traitements types en ESMS
- Gestion du dossier usager (DUI) : données de santé, projet personnalisé, évaluations
- Gestion RH : recrutement, paie, formation, DUERP
- Vidéosurveillance : sécurité des locaux
- Gestion des entrées/sorties : badges, contrôle d’accès
- Comptabilité et facturation
- Communication : site web, newsletter (si applicable)
- Télémédecine / télésoin (si déployé)
AIPD : quand est-elle obligatoire en ESMS ?
L’Analyse d’Impact relative à la Protection des Données (AIPD, article 35 RGPD) est obligatoire quand un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés.
Traitements nécessitant une AIPD en ESMS
- Dossier usager informatisé (DUI) : données de santé + personnes vulnérables = AIPD obligatoire
- Vidéosurveillance des espaces collectifs
- Géolocalisation des usagers (bracelets anti-fugue en EHPAD/MAS)
- Tout nouveau traitement de données de santé à grande échelle
- Profilage ou prise de décision automatisée impactant les usagers
Droits des usagers sur leurs données
Les usagers (ou leurs représentants légaux) disposent de droits renforcés sur leurs données personnelles :
| Droit | Contenu | Délai de réponse |
|---|---|---|
| Droit d’accès | Obtenir une copie de ses données | 1 mois |
| Droit de rectification | Corriger des données inexactes | 1 mois |
| Droit d’effacement | Demander la suppression (limité pour les données de santé) | 1 mois |
| Droit à la portabilité | Récupérer ses données dans un format structuré | 1 mois |
| Droit d’opposition | S’opposer au traitement (sous conditions) | 1 mois |
| Droit à la limitation | Geler le traitement pendant une vérification | 1 mois |
Personnes sous protection juridique
- Tutelle : le tuteur exerce les droits numériques au nom de la personne protégée
- Curatelle : la personne exerce elle-même ses droits, avec l’assistance du curateur si nécessaire
- Habilitation familiale : la personne habilitée exerce les droits dans le périmètre de son mandat
- L’information doit être adaptée (FALC, pictogrammes) pour garantir la compréhension
Plan de mise en conformité RGPD en 7 étapes
- Désigner un DPO (interne, externe ou mutualisé) et le déclarer à la CNIL
- Cartographier les traitements : recenser tous les traitements de données et constituer le registre
- Réaliser les AIPD pour les traitements à risque (DUI, vidéosurveillance, géolocalisation)
- Rédiger la politique de confidentialité et les notices d’information destinées aux usagers, familles et personnel
- Sécuriser les données : contrôle d’accès, chiffrement, sauvegardes, double authentification, vérification HDS des sous-traitants
- Mettre en place les procédures : gestion des droits des personnes, notification de violation (72h), clauses contractuelles sous-traitants
- Former les équipes : sensibilisation de tout le personnel aux bonnes pratiques (mots de passe, messagerie, confidentialité du dossier usager)
RGPD et évaluation HAS
Le référentiel HAS intègre la protection des données dans plusieurs objectifs :
- Chapitre 1 — Droits des usagers : information sur les droits numériques, confidentialité du dossier, recueil du consentement
- Chapitre 3 — Gouvernance : sécurité des systèmes d’information, politique de gestion des données, désignation du DPO
- Les évaluateurs vérifient : l’existence du registre, la désignation du DPO, les procédures de gestion des droits, la sécurité des SI
La conformité RGPD est un indicateur de qualité institutionnelle et de respect des droits fondamentaux des personnes accompagnées.
Questions fréquentes
Le DPO est-il obligatoire en ESMS ?
Oui, pour la quasi-totalité des ESMS qui traitent des données de santé à grande échelle (art. 37 RGPD). Le DPO peut être interne, externe ou mutualisé entre plusieurs structures.
Quelles données sont concernées par le RGPD ?
Données de santé (diagnostics, traitements, évaluations), données sociales (situation familiale, protection juridique, orientation MDPH) et données administratives (identité, NIR, coordonnées). Les données de santé et de handicap sont des données sensibles.
L’AIPD est-elle obligatoire ?
Oui, pour les traitements à risque élevé : DUI, vidéosurveillance, géolocalisation. La CNIL propose un logiciel gratuit (PIA) pour la réaliser.
Quelle durée de conservation pour le dossier médical ?
20 ans après la dernière prise en charge (art. R1112-7 CSP). Pour les mineurs : jusqu’aux 28 ans minimum. Données administratives : 5 ans. Vidéosurveillance : 1 mois maximum.
Comment gérer le consentement des personnes vulnérables ?
Pour les traitements fondés sur la mission d’intérêt public, le consentement n’est pas la base légale. L’information reste obligatoire et doit être adaptée (FALC). Pour les personnes sous tutelle, le tuteur exerce les droits. Sous curatelle, la personne exerce elle-même avec assistance.
Quelles sanctions RGPD pour un ESMS ?
Jusqu’à 20 M€ ou 4% du CA (art. 83 RGPD). La CNIL a sanctionné le secteur santé : 800 000€ pour un éditeur médical, 600 000€ pour un CH. L’absence de DPO, de registre ou de notification de violation sont des manquements courants.
Qu’est-ce que la certification HDS ?
Certification obligatoire pour tout prestataire hébergeant des données de santé (art. L1111-8 CSP). Concerne les éditeurs de DUI en cloud, les prestataires de sauvegarde et les messageries de santé. L’ESMS doit vérifier la certification de ses sous-traitants.
Quel lien entre RGPD et évaluation HAS ?
Le référentiel HAS intègre la protection des données dans les chapitres Droits des usagers et Gouvernance. Les évaluateurs vérifient le registre, le DPO, les procédures de gestion des droits et la sécurité des SI.
Sources officielles et références
- CNIL — RGPD : de quoi parle-t-on ?
- CNIL — Désignation d’un DPO
- CNIL — Analyse d’impact (AIPD)
- CNIL — Logiciel PIA (outil AIPD gratuit)
- CNIL — Notifier une violation de données
- Légifrance — Article L1110-4 CSP (secret médical)
- Légifrance — Article L1111-8 CSP (hébergement données de santé)
- ANS — Certification HDS (Hébergeur de Données de Santé)
- HAS — Manuel d’évaluation qualité des ESSMS
Sur le même sujet
Évaluation HAS des ESMS
Référentiel, critères et préparation
Management ESMS 2026
Pilotage stratégique et gouvernance
CVS en ESMS
Droits des usagers et participation
Accessibilité Numérique en ESMS
Respecter le RGAA et éviter les sanctions
Bientraitance en ESMS
Ancrer le respect des droits dans les pratiques
Encadrement et Direction ESMS
Responsabilités du directeur
CPOM en ESMS
Objectifs qualité et gouvernance
Réformes et Législation 2026
Panorama des réformes du secteur
Soins et Paramédical en ESMS
Coordination des soins et dossier de soins
MDPH : Guide Complet 2026
Droits, démarches et orientation